認証局 (CA) とは

認証局 (Certificate Authority、CA) とは、デジタル証明書を発行・管理する組織です。Web サイトが HTTPS で通信する際、ブラウザは「このサイトは本当に正規の運営者が管理しているのか」を検証する必要があります。その検証の根拠となるのが、認証局が発行した証明書です。

認証局は、証明書の申請者がドメインの正当な管理者であることを確認し、公開鍵とドメイン名を紐づけた証明書に電子署名を行います。ブラウザは信頼する認証局のリスト (ルートストア) を内蔵しており、そのリストに含まれる認証局が署名した証明書だけを有効と判定します。

証明書の種類 - DV/OV/EV

認証局が発行する証明書は、申請者の身元確認の厳格さによって 3 種類に分類されます。

ドメインの管理権限のみを確認する。DNS レコードの設定やメール認証で検証が完了するため、数分で発行される。Let's Encrypt が無料で提供しているのはこのタイプ。個人サイトやブログに適している。

ドメインの管理権限に加え、申請組織の実在性を確認する。登記簿や電話確認による審査が行われ、発行まで数日かかる。企業サイトや業務システムで使用される。

最も厳格な審査を経て発行される。組織の法的存在、物理的所在地、申請者の権限を詳細に検証する。かつてはブラウザのアドレスバーに組織名が緑色で表示されたが、現在は廃止されている。金融機関や大企業が利用する。

暗号化の強度は DV/OV/EV で差がありません。違いは「誰がそのドメインを管理しているか」の検証レベルです。

信頼の連鎖 (Chain of Trust)

認証局のシステムは「信頼の連鎖」と呼ばれる階層構造で成り立っています。

ルート認証局: 信頼の頂点に位置する認証局。自身の証明書 (ルート証明書) に自ら署名する。ルート証明書は OS やブラウザにプリインストールされており、ユーザーが意識することなく信頼の起点として機能する。
中間認証局: ルート認証局から証明書を発行された認証局。実際のサーバー証明書の発行はほとんどの場合、中間認証局が行う。ルート認証局の秘密鍵を直接使用するリスクを避けるための設計。
サーバー証明書: Web サイトに設置される証明書。中間認証局が署名する。

ブラウザがサーバー証明書を検証する際、サーバー証明書 → 中間認証局の証明書 → ルート証明書と辿り、最終的にルートストアに含まれるルート証明書に到達できれば「信頼できる」と判定します。この連鎖のどこかが切れると、ブラウザは警告を表示します。

中間認証局を挟む設計には、ルート認証局の秘密鍵をオフラインの HSM (Hardware Security Module) に保管し、万が一中間認証局が侵害されてもルート証明書を無効化せずに済むという利点があります。

Let's Encrypt の影響

2015 年に登場した Let's Encrypt は、DV 証明書を無料かつ自動で発行する認証局として、Web のセキュリティを根本的に変えました。

HTTPS の普及を加速: Let's Encrypt 以前、SSL 証明書は年間数千円から数万円のコストがかかり、個人サイトや小規模サービスでは HTTPS 化が進んでいなかった。無料化により、Web 全体の HTTPS 採用率は 2015 年の約 40% から 2025 年には 95% 以上に上昇した。
ACME プロトコルによる自動化: 証明書の発行・更新を API で自動化する ACME (Automatic Certificate Management Environment) プロトコルを標準化した。Certbot などのクライアントツールを使えば、コマンド 1 つで証明書の取得と Web サーバーへの設定が完了する。
90 日の短い有効期間: 従来の証明書が 1-2 年の有効期間だったのに対し、Let's Encrypt は 90 日に設定している。短い有効期間は秘密鍵の漏洩リスクを低減し、自動更新を前提とした運用を促進する。

Let's Encrypt は Internet Security Research Group (ISRG) が運営する非営利プロジェクトで、Mozilla、Google、Cisco などがスポンサーとして支援しています。

DigiNotar 事件と Certificate Transparency

2011 年、オランダの認証局 DigiNotar がハッキングされ、google.com を含む 500 以上のドメインに対する不正な証明書が発行される事件が発生しました。攻撃者はこの偽証明書を使い、イランのユーザーの Gmail 通信を傍受したとされています。DigiNotar はすべてのブラウザの信頼リストから削除され、事実上廃業に追い込まれました。

この事件を契機に、認証局の透明性を担保する仕組みとして Certificate Transparency (CT) が開発されました。

CT ログ: 認証局が発行したすべての証明書を、公開された追記専用のログサーバーに記録する。ドメイン管理者は CT ログを監視することで、自分のドメインに対して不正な証明書が発行されていないかを検知できる。
SCT (Signed Certificate Timestamp): CT ログに記録された証拠。TLS ハンドシェイク時にサーバーが SCT を提示し、ブラウザが検証する。Chrome は 2018 年以降、SCT を含まない証明書を信頼しない。
HSTS との併用: CT で不正証明書を検知し、HSTS で HTTP へのダウングレードを防ぐことで、中間者攻撃に対する多層防御を実現する。

CT は「認証局を信頼する」モデルから「認証局を検証する」モデルへの転換を象徴する技術です。

よくある誤解

HTTPS の鍵マークが表示されていれば安全なサイトである: 鍵マークは通信が暗号化されていることを示すだけで、サイトの運営者が信頼できることを保証しません。フィッシングサイトも DV 証明書を取得して HTTPS 化できます。URL のドメイン名を確認することが重要です。
EV 証明書は DV 証明書より暗号化が強い: 暗号化の強度は証明書の種類に依存しません。DV でも EV でも同じ TLS プロトコルと暗号スイートが使われます。EV の違いは申請者の身元確認の厳格さであり、暗号化レベルではありません。

認証局 (Certificate Authority)